

<!DOCTYPE html>
<html lang="zh-CN" data-default-color-scheme=auto>



<head>
  <meta charset="UTF-8">
  <link rel="apple-touch-icon" sizes="76x76" href="/img/fluid.png">
  <link rel="icon" href="/img/fluid.png">
  <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=5.0, shrink-to-fit=no">
  <meta http-equiv="x-ua-compatible" content="ie=edge">
  
  <meta name="theme-color" content="#2f4154">
  <meta name="author" content="John Doe">
  <meta name="keywords" content="">
  
    <meta name="description" content="@[toc] 一、Cookie 与 Session 在我们访问页面时，通常是通过 HTTP 协议的，该协议的特点之一是** 无状态**。当我们通过HTTP协议去访问某一个网站，此时就会向网站服务端发送请求。HTTP 协议确保每一个请求都是独立的，于是服务端无法确定当前请求的身份，而 Cookie 和 Session可以解决这个问题。 1.1 CookieCookie 存储在客户端，比如访问网站时的">
<meta property="og:type" content="article">
<meta property="og:title" content="Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较">
<meta property="og:url" content="http://example.com/2022/07/24/Web%E5%BC%80%E5%8F%91%20%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%20_%20SpringBoot%20%E6%95%B4%E5%90%88%20JWT%20_%20%E5%89%8D%E5%90%8E%E7%AB%AF%E4%B8%8D%E5%88%86%E7%A6%BB%E7%9A%84%E6%A1%88%E4%BE%8B%20_%20Cookie%E3%80%81Session%E3%80%81Token%20%E3%80%81JWT%E6%A6%82%E8%BF%B0%E4%B8%8E%E6%AF%94%E8%BE%83/index.html">
<meta property="og:site_name" content="Hexo">
<meta property="og:description" content="@[toc] 一、Cookie 与 Session 在我们访问页面时，通常是通过 HTTP 协议的，该协议的特点之一是** 无状态**。当我们通过HTTP协议去访问某一个网站，此时就会向网站服务端发送请求。HTTP 协议确保每一个请求都是独立的，于是服务端无法确定当前请求的身份，而 Cookie 和 Session可以解决这个问题。 1.1 CookieCookie 存储在客户端，比如访问网站时的">
<meta property="og:locale" content="zh_CN">
<meta property="og:image" content="https://img-blog.csdnimg.cn/caaa74a4d71a45ef84da04dfdc060dec.gif#pic_center">
<meta property="og:image" content="https://img-blog.csdnimg.cn/1ea50263b842481ebdd015387b90acf3.gif#pic_center">
<meta property="article:published_time" content="2022-07-24T04:57:20.000Z">
<meta property="article:modified_time" content="2022-08-22T15:49:46.892Z">
<meta property="article:author" content="John Doe">
<meta property="article:tag" content="JavaWeb">
<meta property="article:tag" content="JWT">
<meta property="article:tag" content="跨域">
<meta name="twitter:card" content="summary_large_image">
<meta name="twitter:image" content="https://img-blog.csdnimg.cn/caaa74a4d71a45ef84da04dfdc060dec.gif#pic_center">
  
  
  
  <title>Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较 - Hexo</title>

  <link  rel="stylesheet" href="https://lib.baomitu.com/twitter-bootstrap/4.6.1/css/bootstrap.min.css" />



  <link  rel="stylesheet" href="https://lib.baomitu.com/github-markdown-css/4.0.0/github-markdown.min.css" />

  <link  rel="stylesheet" href="https://lib.baomitu.com/hint.css/2.7.0/hint.min.css" />

  <link  rel="stylesheet" href="https://lib.baomitu.com/fancybox/3.5.7/jquery.fancybox.min.css" />



<!-- 主题依赖的图标库，不要自行修改 -->
<!-- Do not modify the link that theme dependent icons -->

<link rel="stylesheet" href="//at.alicdn.com/t/font_1749284_hj8rtnfg7um.css">



<link rel="stylesheet" href="//at.alicdn.com/t/font_1736178_lbnruvf0jn.css">


<link  rel="stylesheet" href="/css/main.css" />


  <link id="highlight-css" rel="stylesheet" href="/css/highlight.css" />
  
    <link id="highlight-css-dark" rel="stylesheet" href="/css/highlight-dark.css" />
  




  <script id="fluid-configs">
    var Fluid = window.Fluid || {};
    Fluid.ctx = Object.assign({}, Fluid.ctx)
    var CONFIG = {"hostname":"example.com","root":"/","version":"1.9.2","typing":{"enable":true,"typeSpeed":70,"cursorChar":"_","loop":false,"scope":[]},"anchorjs":{"enable":true,"element":"h1,h2,h3,h4,h5,h6","placement":"left","visible":"hover","icon":""},"progressbar":{"enable":true,"height_px":3,"color":"#29d","options":{"showSpinner":false,"trickleSpeed":100}},"code_language":{"enable":true,"default":"TEXT"},"copy_btn":true,"image_caption":{"enable":true},"image_zoom":{"enable":true,"img_url_replace":["",""]},"toc":{"enable":true,"placement":"right","headingSelector":"h1,h2,h3,h4,h5,h6","collapseDepth":0},"lazyload":{"enable":true,"loading_img":"/img/loading.gif","onlypost":false,"offset_factor":2},"web_analytics":{"enable":false,"follow_dnt":true,"baidu":null,"google":null,"gtag":null,"tencent":{"sid":null,"cid":null},"woyaola":null,"cnzz":null,"leancloud":{"app_id":null,"app_key":null,"server_url":null,"path":"window.location.pathname","ignore_local":false}},"search_path":"/local-search.xml"};

    if (CONFIG.web_analytics.follow_dnt) {
      var dntVal = navigator.doNotTrack || window.doNotTrack || navigator.msDoNotTrack;
      Fluid.ctx.dnt = dntVal && (dntVal.startsWith('1') || dntVal.startsWith('yes') || dntVal.startsWith('on'));
    }
  </script>
  <script  src="/js/utils.js" ></script>
  <script  src="/js/color-schema.js" ></script>
  


  
<meta name="generator" content="Hexo 6.2.0"></head>


<body>
  

  <header>
    

<div class="header-inner" style="height: 70vh;">
  <nav id="navbar" class="navbar fixed-top  navbar-expand-lg navbar-dark scrolling-navbar">
  <div class="container">
    <a class="navbar-brand" href="/">
      <strong>尤 Ni&#39;s Blog</strong>
    </a>

    <button id="navbar-toggler-btn" class="navbar-toggler" type="button" data-toggle="collapse"
            data-target="#navbarSupportedContent"
            aria-controls="navbarSupportedContent" aria-expanded="false" aria-label="Toggle navigation">
      <div class="animated-icon"><span></span><span></span><span></span></div>
    </button>

    <!-- Collapsible content -->
    <div class="collapse navbar-collapse" id="navbarSupportedContent">
      <ul class="navbar-nav ml-auto text-center">
        
          
          
          
          
            <li class="nav-item">
              <a class="nav-link" href="/">
                <i class="iconfont icon-home-fill"></i>
                首页
              </a>
            </li>
          
        
          
          
          
          
            <li class="nav-item">
              <a class="nav-link" href="/archives/">
                <i class="iconfont icon-archive-fill"></i>
                归档
              </a>
            </li>
          
        
          
          
          
          
            <li class="nav-item">
              <a class="nav-link" href="/categories/">
                <i class="iconfont icon-category-fill"></i>
                分类
              </a>
            </li>
          
        
          
          
          
          
            <li class="nav-item">
              <a class="nav-link" href="/tags/">
                <i class="iconfont icon-tags-fill"></i>
                标签
              </a>
            </li>
          
        
          
          
          
          
            <li class="nav-item">
              <a class="nav-link" href="/about/">
                <i class="iconfont icon-user-fill"></i>
                关于
              </a>
            </li>
          
        
        
          <li class="nav-item" id="search-btn">
            <a class="nav-link" target="_self" href="javascript:;" data-toggle="modal" data-target="#modalSearch" aria-label="Search">
              &nbsp;<i class="iconfont icon-search"></i>&nbsp;
            </a>
          </li>
          
        
        
          <li class="nav-item" id="color-toggle-btn">
            <a class="nav-link" target="_self" href="javascript:;" aria-label="Color Toggle">&nbsp;<i
                class="iconfont icon-dark" id="color-toggle-icon"></i>&nbsp;</a>
          </li>
        
      </ul>
    </div>
  </div>
</nav>

  

<div id="banner" class="banner" parallax=true
     style="background: url('/img/default.png') no-repeat center center; background-size: cover;">
  <div class="full-bg-img">
    <div class="mask flex-center" style="background-color: rgba(0, 0, 0, 0.3)">
      <div class="banner-text text-center fade-in-up">
        <div class="h2">
          
            <span id="subtitle" data-typed-text="Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较"></span>
          
        </div>

        
          
  <div class="mt-3">
    
      <span class="post-meta mr-2">
        <i class="iconfont icon-author" aria-hidden="true"></i>
        John Doe
      </span>
    
    
      <span class="post-meta">
        <i class="iconfont icon-date-fill" aria-hidden="true"></i>
        <time datetime="2022-07-24 12:57" pubdate>
          2022年7月24日 下午
        </time>
      </span>
    
  </div>

  <div class="mt-1">
    
      <span class="post-meta mr-2">
        <i class="iconfont icon-chart"></i>
        
          21k 字
        
      </span>
    

    
      <span class="post-meta mr-2">
        <i class="iconfont icon-clock-fill"></i>
        
        
        
          177 分钟
        
      </span>
    

    
    
  </div>


        
      </div>

      
    </div>
  </div>
</div>

</div>

  </header>

  <main>
    
      

<div class="container-fluid nopadding-x">
  <div class="row nomargin-x">
    <div class="side-col d-none d-lg-block col-lg-2">
      

    </div>

    <div class="col-lg-8 nopadding-x-md">
      <div class="container nopadding-x-md" id="board-ctn">
        <div id="board">
          <article class="post-content mx-auto">
            <!-- SEO header -->
            <h1 style="display: none">Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较</h1>
            
              <p class="note note-info">
                
                  
                    本文最后更新于：1 小时前
                  
                
              </p>
            
            
              <div class="markdown-body">
                
                <p>@[toc]</p>
<h1 id="一、Cookie-与-Session"><a href="#一、Cookie-与-Session" class="headerlink" title="一、Cookie 与 Session"></a>一、Cookie 与 Session</h1><hr>
<p>在我们访问页面时，通常是通过 HTTP 协议的，该协议的特点之一是** 无状态**。当我们通过HTTP协议去访问某一个网站，此时就会向网站服务端发送请求。HTTP 协议确保每一个请求都是独立的，于是服务端无法确定当前请求的身份，而 Cookie 和 Session可以解决这个问题。</p>
<h2 id="1-1-Cookie"><a href="#1-1-Cookie" class="headerlink" title="1.1 Cookie"></a>1.1 Cookie</h2><p>Cookie 存储在客户端，比如访问网站时的浏览器，每一次请求，Cookie都会自动的发送给服务端，当然这是可以手动禁用的。<br>Cookie 主要的属性</p>
<table>
<thead>
<tr>
<th align="left">属性</th>
<th align="left">描述</th>
</tr>
</thead>
<tbody><tr>
<td align="left">key&#x3D;value</td>
<td align="left">键值对，必须都为字符串类型。值为 Unicode字符时，使用字符编码。值为二进制数据时，使用 Base64编码</td>
</tr>
<tr>
<td align="left">domain</td>
<td align="left">指定 cookie 所属的域名，默认是当前域名</td>
</tr>
<tr>
<td align="left">path</td>
<td align="left">指定 cookie 在哪个路径（即路由）下生效，默认为 ‘&#x2F;‘。若指定为&#x2F;user，那么只有 &#x2F;user 下的路由可以访问到该 cookie，如：&#x2F;user&#x2F;find</td>
</tr>
<tr>
<td align="left">maxAge</td>
<td align="left">cookie 失效时间，单位:秒， maxAge &lt; 0 则关闭浏览器就失效，maxAge &#x3D; 0 ，删除，默认情况maxAge &#x3D; -1</td>
</tr>
<tr>
<td align="left">expires</td>
<td align="left">icookie 过期时间，在设置的某个时间后 该 cookie失效。没有 maxAge 好用</td>
</tr>
<tr>
<td align="left">secure</td>
<td align="left">true &#x2F; false，表示 cookie 是否使用安全协议（如 HTTPS，SSL）传输，默认为 false。设置为 ture 时， cookie 在HTTP传输中无效，而在 HTTPS 中会有效</td>
</tr>
<tr>
<td align="left">httpOnly</td>
<td align="left">禁止通过 JS脚本获取 cookie，但可以通过浏览器调试工具获取到 Application 里的 cookie，能防一定的XSS攻击</td>
</tr>
</tbody></table>
<h2 id="1-2-Session"><a href="#1-2-Session" class="headerlink" title="1.2 Session"></a>1.2 Session</h2><p>Session 是另一种记录服务端和客户端会话状态的机制，Session 是基于 Cookie 实现的，Session 存储在服务端，当发送请求后，服务端会存储当前请求的sessionId （区分不同的客户端）到 客户端的 Cookie 中。</p>
<p>![](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/img_convert/d2fea4c95fd87e534fbed222e20fdbcd.jpeg#pic_center">https://img-blog.csdnimg.cn/img_convert/d2fea4c95fd87e534fbed222e20fdbcd.jpeg#pic_center</a> &#x3D;60%x)</p>
<h2 id="1-3-Cookie-与-Session-比较"><a href="#1-3-Cookie-与-Session-比较" class="headerlink" title="1.3 Cookie 与 Session 比较"></a>1.3 Cookie 与 Session 比较</h2><table>
<thead>
<tr>
<th align="left"></th>
<th align="left">Cookie</th>
<th align="left">Session</th>
</tr>
</thead>
<tbody><tr>
<td align="left">安全性</td>
<td align="left">不安全，存储在客户端，可自行修改</td>
<td align="left">安全，存储在服务端</td>
</tr>
<tr>
<td align="left">存储类型</td>
<td align="left">key为字符串value也为字符串</td>
<td align="left">key为字符串，value 可为能序列化的任何数据</td>
</tr>
<tr>
<td align="left">有效期</td>
<td align="left">长时间保持</td>
<td align="left">时间较短，默认为30秒，且在客户端关闭就失效。</td>
</tr>
<tr>
<td align="left">存储量</td>
<td align="left">单个Cookie不能超过4K，即4096 Byte</td>
<td align="left">没有固定限制，存储在内存，但是过大会占资源</td>
</tr>
</tbody></table>
<h1 id="二、Token"><a href="#二、Token" class="headerlink" title="二、Token"></a>二、Token</h1><hr>
<p>Token 即令牌，分为 Access Token 和 Refresh Token 两种，本次我们用的是 JWT，它是基于Token的，这里以了解为主。</p>
<h2 id="2-1-Access-Token"><a href="#2-1-Access-Token" class="headerlink" title="2.1 Access Token"></a>2.1 Access Token</h2><p>Access Token 是访问资源接口（API）时所需的资源凭证<br><strong>主要组成：</strong> uid  + time + sign </p>
<ul>
<li>uid ，用户唯一的身份标识</li>
<li>time，当前时间戳</li>
<li>sign 签名</li>
</ul>
<p><strong>特点：</strong></p>
<ul>
<li>服务端无状态化，可扩展性强</li>
<li>支持移动端设备，现APP里基本上用的都是 Token认证</li>
<li>安全性高</li>
<li>支持跨应用，比如在CSDN中使用微信登录账号。</li>
</ul>
<p><strong>Access Token 的身份认证流程：</strong></p>
<p>以使用 Token 进行登录的身份认证为例<br>![](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/img_convert/a14e4ec0ad20a2d1dc550f2c1421b93f.jpeg#pic_center">https://img-blog.csdnimg.cn/img_convert/a14e4ec0ad20a2d1dc550f2c1421b93f.jpeg#pic_center</a> &#x3D;60%x)</p>
<p><strong>使用 Access Token 认证的特点：</strong></p>
<ul>
<li>认证通过后，每次请求都需携带 Token 字符串，通常是放在 HTTP 请求的 Header 请求头</li>
<li>基于 Token 实现的用户认证属于 无状态的认证方式，服务端不用存放 Token 数据。</li>
<li>用解析 Token 的计算时间 换取 Session 的存储与处理时间，减轻服务端压力，减少数据库交互。</li>
<li>Token 由客户端管理，成功避开同源策略，即可跨应用进行用户认证</li>
</ul>
<h2 id="2-2-Refresh-Token"><a href="#2-2-Refresh-Token" class="headerlink" title="2.2 Refresh Token"></a>2.2 Refresh Token</h2><p>Refresh Token 的作用是刷新 Access Token 的 token，若没有 Refresh Token， 同样可以刷新 Access Token，但每次刷新都需要用户输入用户名和密码，带来更多麻烦。</p>
<p><strong>Refresh Token + Access Token 的 认证流程：</strong></p>
<p> ![](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/img_convert/25864bb1685b6751d5abcdd75fd74a1d.jpeg#pic_center">https://img-blog.csdnimg.cn/img_convert/25864bb1685b6751d5abcdd75fd74a1d.jpeg#pic_center</a> &#x3D;70%x)</p>
<p><strong>使用 Refresh Token 结合 Access Token  的特点：</strong></p>
<ul>
<li>Access Token 有效期比较短，当过期失效时， 使用 Refresh Token 就可以获取到新的 Key，若 RefshToken中也失效，那么用户只能重新登录。</li>
<li>Refresh Token 包括其过期时间都存储在服务器的数据库中，只有在申请新的 Acess Token 时才会验证，不会对接口响应时间造成影响，无需像 Session那样保存在内存。</li>
</ul>
<h2 id="2-3-Token-与-Session-相比"><a href="#2-3-Token-与-Session-相比" class="headerlink" title="2.3 Token 与 Session 相比"></a>2.3 Token 与 Session 相比</h2><table>
<thead>
<tr>
<th align="left"></th>
<th align="left">Session</th>
<th align="left">Token</th>
</tr>
</thead>
<tbody><tr>
<td align="left">服务端状态</td>
<td align="left">有状态化，记录会话信息</td>
<td align="left">无状态化，不存储会话信息</td>
</tr>
<tr>
<td align="left">安全性</td>
<td align="left">安全性比Cookie高，但没有Token高，因为SessionId仍然是记录在客户端的 Cookie 里，可进行篡改</td>
<td align="left">更安全，有带加密算法的签名机制</td>
</tr>
<tr>
<td align="left">认证机制</td>
<td align="left">支持认证，不可跨应用</td>
<td align="left">支持认证，可以跨应用</td>
</tr>
</tbody></table>
<h1 id="三、JWT"><a href="#三、JWT" class="headerlink" title="三、JWT"></a>三、JWT</h1><hr>
<p>JWT，是一种基于 Token 的认证授权机制，是 JSON Web Token 的缩写，是目前最流行的跨域认证采用的技术。</p>
<p>JWT是为了在网络应用环境之间传递声明而执行的一种基于JSON的公开标准（<a target="_blank" rel="noopener" href="https://datatracker.ietf.org/doc/html/rfc7519">https://datatracker.ietf.org/doc/html/rfc7519</a>）</p>
<p>关于 JWT 的 参考教程：<a target="_blank" rel="noopener" href="http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html">http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html</a></p>
<h2 id="3-1-JWT-认证流程"><a href="#3-1-JWT-认证流程" class="headerlink" title="3.1 JWT 认证流程"></a>3.1 JWT 认证流程</h2><p>JWT实现原理，以用户登录为例：</p>
<p>![](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/img_convert/291df6228435a92194dbaf6282f7b44a.jpeg#pic_center">https://img-blog.csdnimg.cn/img_convert/291df6228435a92194dbaf6282f7b44a.jpeg#pic_center</a> &#x3D;60%x)</p>
<p><strong>JWT 认证流程：</strong></p>
<ul>
<li>用户携带个人的用户名和密码发送请求，服务端认证成功后，返回客户端一个JWT字符串</li>
<li>客户端将 Token 保存到本地（浏览器的话通常是 localStorage 或 Cookie）</li>
<li>当用户要访问受保护的路由或资源时，需设置 Header 请求头的 Authorization 的值，使用  Bearer 模式 添加 JWT 字符串，比如 <code>Authorization: Bearer &lt;token&gt;</code></li>
<li>服务端的保护路由会检查 Header 种 Authorization 中的 JWT 信息，若合法则运行用户行为。</li>
</ul>
<p><strong>使用 JWT 的特点：</strong></p>
<ul>
<li>内部包含一些会话信息，除了验证、签名生成 JWT外，其他情况无需数据库交互</li>
<li>JWT 并不一定依赖于 Cookie，所以可以跨域访问，即支持向第三方应用进行认证与授权</li>
<li>由于用户状态并不存储在服务端的内存，故是一种无状态的认证机制</li>
</ul>
<h2 id="3-2-JWT-与-Token-相比"><a href="#3-2-JWT-与-Token-相比" class="headerlink" title="3.2 JWT 与 Token 相比"></a>3.2 JWT 与 Token 相比</h2><p>JWT 是 Tokne 的拓展，它们之间的 <strong>相同点</strong> 有：</p>
<ul>
<li>都是访问资源的令牌</li>
<li>都可以记录用户信息</li>
<li>都使服务端无状态化</li>
<li>都必须通过验证，客户端才能访问服务端受保护的资源</li>
</ul>
<p><strong>不同点：</strong></p>
<p>Token，服务端  <strong>必须</strong> 查询数据库获取用户信息，然后再验证 Token 是否有效，</p>
<p>JWT 是将 Token 和 Payload 加密存储在客户端，服务端只需使用密钥解密进行验证，无需查询数据库</p>
<h2 id="3-3-JWT的主要组成"><a href="#3-3-JWT的主要组成" class="headerlink" title="3.3 JWT的主要组成"></a>3.3 JWT的主要组成</h2><p>JWT 主要由三部分组成，分别是 header（请求头）、payload（有效负载）、signature（签名），JWT由这三个字符串以句点 . 的方式连接，JWT 通常显示为：<code>xxx.yyy.zzz</code>，即 <code>Header.Payload.Signature</code></p>
<h3 id="3-3-1-Header"><a href="#3-3-1-Header" class="headerlink" title="3.3.1 Header"></a>3.3.1 Header</h3><p>Header 标头通常由两部分组成：</p>
<ul>
<li>令牌的类型（即 JWT ）</li>
<li>签名算法</li>
</ul>
<p>如 HMAC SHA256 或 RSA，它会用 Base64 编码组成 JWT 结构的第一部分<br>注：Base64 是一种编码，即是可以进行解码的，并不是一种加密过程。</p>
<figure class="highlight json"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br></pre></td><td class="code"><pre><code class="hljs json"><span class="hljs-punctuation">&#123;</span><br>  <span class="hljs-attr">&quot;alg&quot;</span> <span class="hljs-punctuation">:</span> <span class="hljs-string">&quot;HS256&quot;</span><span class="hljs-punctuation">,</span><br>  <span class="hljs-attr">&quot;typ&quot;</span> <span class="hljs-punctuation">:</span> <span class="hljs-string">&quot;JWT </span><br><span class="hljs-string">&#125;</span><br></code></pre></td></tr></table></figure>
<h3 id="3-3-2-Payload"><a href="#3-3-2-Payload" class="headerlink" title="3.3.2 Payload"></a>3.3.2 Payload</h3><p>令牌的第二部分是 Payload （有效负载），主要存储一些键值对<br>和 Header 部分一样，Payload 会采用 Base64 编码，不过是作为 JWT 结构的第二部分<br>例如：</p>
<figure class="highlight json"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><code class="hljs json"><span class="hljs-punctuation">&#123;</span><br>  <span class="hljs-attr">&quot;sub&quot;</span><span class="hljs-punctuation">:</span> <span class="hljs-string">&quot;1234567890&quot;</span><span class="hljs-punctuation">,</span><br>  <span class="hljs-attr">&quot;name&quot;</span><span class="hljs-punctuation">:</span> <span class="hljs-string">&quot;Uni&quot;</span><span class="hljs-punctuation">,</span><br>  <span class="hljs-attr">&quot;admin&quot;</span><span class="hljs-punctuation">:</span> <span class="hljs-literal"><span class="hljs-keyword">true</span></span><br><span class="hljs-punctuation">&#125;</span><br></code></pre></td></tr></table></figure>
<h3 id="3-3-3-Signature"><a href="#3-3-3-Signature" class="headerlink" title="3.3.3 Signature"></a>3.3.3 Signature</h3><p>前面两部分都是用 Base64 进行编码的，即前端后端都可以解析里面的信息，Signature 签名需要使用编码后的header 和 payload 以及我们提供的一个字符串密钥，然后使用 header 中指定的签名算法，例如 HS256 进行签名。签名的作用是保证 JWT 没有被篡改过，如：<br><code>HMACSHA256(base64UrlEncode(header) + &quot;.&quot; + base64UrlEncode(payload), secret);</code></p>
<h3 id="3-3-4-签名目的"><a href="#3-3-4-签名目的" class="headerlink" title="3.3.4 签名目的"></a>3.3.4 签名目的</h3><p>像上述那样，签名的时候同时使用了 header 和 payload 字符串的内容进行组合，<br>这最后一步的签名过程，实际上是对 Header 头部以及 Payload 负载内容进行签名，防止内容被篡改。若有人对Header 以及 Payload 的内容解码之后再进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务端就会判断出新的头部和负载形成的签名和 JWT 附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务器加密时用的密钥的话，得出来的签名也是不一样的。</p>
<p>签名的策略有许多，这里只是简单举例，比如我们可以用 payload 里存储的用户ID 和 服务器固定的密钥来进行组合加密，都是可以的。</p>
<h3 id="3-3-5-信息安全问题"><a href="#3-3-5-信息安全问题" class="headerlink" title="3.3.5 信息安全问题"></a>3.3.5 信息安全问题</h3><p>Base64 是一种编码方式，是可逆的，那么信息就容易暴露。在JWT中，不应该在 payload 负载里加入任何 <strong>敏感</strong> 的数据，例如用户的个人密码，不适合放到 JWT。<br>JWT 经常用于设计用户认证和授权系统，或者实现 Web 应用的单点登录。</p>
<h1 id="四、Cookie-Session-Token-JWT-使用的常见问题"><a href="#四、Cookie-Session-Token-JWT-使用的常见问题" class="headerlink" title="四、Cookie Session Token JWT 使用的常见问题"></a>四、Cookie Session Token JWT 使用的常见问题</h1><hr>
<h2 id="4-1-Cookie"><a href="#4-1-Cookie" class="headerlink" title="4.1 Cookie"></a>4.1 Cookie</h2><p><strong>使用 Cookie 需注意的问题：</strong></p>
<ul>
<li>存储在客户端，容易被篡改，使用前需验证是否合法</li>
<li>尽量不存敏感数据，如用户密码，账号余额</li>
<li>使用 httpOnly ，提高安全性</li>
<li>存储的数据量不能过大，单个Cookie最多只能存储 4kb 的数据</li>
<li>设置正确的 domain 域 和 path，尽量减少数据传输</li>
<li>无法跨域</li>
<li>浏览器对单个网站最多存 20个 Cookie，而浏览器一般指允许存放 300个Cookie</li>
<li>移动端不适合用 Cookie ，而 Session 又是基于 Cookie 实现，故移动端常用 Token</li>
</ul>
<h2 id="4-2-Session"><a href="#4-2-Session" class="headerlink" title="4.2 Session"></a>4.2 Session</h2><p><strong>使用 Session 需注意的问题：</strong></p>
<ul>
<li>当用户在线过多时，会占据更多内存，需在服务端定期处理过期的 Session</li>
<li>集群环境下，服务端需解决多台 web 服务器共享session的问题，否则同一个用户无法访问服务端不同的web服务器。</li>
<li>共享session 会遇到跨域问题，服务端需在各个应用间解决 cookie 跨域 问题</li>
<li>sessionId 存储在客户端的 cookie中，如果浏览器禁止 cookie 或不支持 cookie，可以把 sessionId 写在 URL 参数后面，即 session不一定必须基于 cookie 实现</li>
</ul>
<h2 id="4-3-Token"><a href="#4-3-Token" class="headerlink" title="4.3 Token"></a>4.3 Token</h2><p><strong>使用 Token 需注意的问题：</strong></p>
<ul>
<li>数据库存储 Token，若导致查询时间长，可选择存放在内存，比如使用 Redis 数据库</li>
<li>Token 由应用管理，避免了同源策略的限制。</li>
<li>Token 不依赖 Cookie， 可避免 CSRF（跨站域请求伪造）攻击</li>
</ul>
<h2 id="4-4-JWT"><a href="#4-4-JWT" class="headerlink" title="4.4 JWT"></a>4.4 JWT</h2><p>使用 JWT 需注意的问题：</p>
<ul>
<li>JWT 不依赖 Cookie,，支持 CORS 跨域资源共享</li>
<li>JWT 默认不加密，不过可设置加密，生成原始Toekn后，再用指定的加密算法加密一次</li>
<li>JWT 不加密时不能存放敏感数据，否则有安全隐患</li>
<li>JWT 除了认证以外，还可以用来交换信息，降低了服务端的数据库交互</li>
<li>JWT 最大优势是服务端无需依赖 Session，方便服务端的认证与授权业务的拓展，同时也有一定局限，无法在使用过程中废弃某个 Token 或 更改 Token 的权限，除非使用更多的逻辑进行处理</li>
<li>JWT 本身包含了认证信息，故最好将JWT有效期设置短一些，对于比较重要的权限，使用时应再次验证用户身份</li>
<li>JWT 适合一次性的命令认证，颁发有效期很短的JWT，降低泄露的危险</li>
<li>为了降低盗用概率，JWT 应使用 HTTPS 安全协议传输</li>
</ul>
<h2 id="4-5-整合JWT"><a href="#4-5-整合JWT" class="headerlink" title="4.5 整合JWT"></a>4.5 整合JWT</h2><p>JWT 本质上就是一个由点分隔的 Base64-URL 字符串，可以在 HTML 和 HTTP 环境中轻松传递这些字符串，与基于XML的标准（例如SAML）相比，它更紧凑。可通过URL，POST参数或者在HTTP Header 发送，因为数据量小，传输速度快。</p>
<h1 id="五、SpringBoot-整合-JWT"><a href="#五、SpringBoot-整合-JWT" class="headerlink" title="五、SpringBoot 整合 JWT"></a>五、SpringBoot 整合 JWT</h1><hr>
<h2 id="5-1-前后端不分离版"><a href="#5-1-前后端不分离版" class="headerlink" title="5.1 前后端不分离版"></a>5.1 前后端不分离版</h2><h3 id="5-1-1-简单版"><a href="#5-1-1-简单版" class="headerlink" title="5.1.1 简单版"></a>5.1.1 简单版</h3><p>后端不使用拦截器，前端只通过 HTML ，不写 JavaScript，接下来以最这种最简单的方式来实现 JWT 认证，前后端不分离，前端用 Thymeleaf 模板渲染引擎。</p>
<p>注：这种方式只是用来测试 JWT 功能的，实际开发中很少用</p>
<h4 id="1-引入依赖"><a href="#1-引入依赖" class="headerlink" title="1. 引入依赖"></a>1. 引入依赖</h4><figure class="highlight xml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br><span class="line">29</span><br><span class="line">30</span><br><span class="line">31</span><br><span class="line">32</span><br><span class="line">33</span><br><span class="line">34</span><br><span class="line">35</span><br><span class="line">36</span><br><span class="line">37</span><br><span class="line">38</span><br><span class="line">39</span><br><span class="line">40</span><br><span class="line">41</span><br><span class="line">42</span><br><span class="line">43</span><br><span class="line">44</span><br><span class="line">45</span><br><span class="line">46</span><br><span class="line">47</span><br><span class="line">48</span><br><span class="line">49</span><br><span class="line">50</span><br><span class="line">51</span><br><span class="line">52</span><br><span class="line">53</span><br><span class="line">54</span><br><span class="line">55</span><br><span class="line">56</span><br><span class="line">57</span><br><span class="line">58</span><br><span class="line">59</span><br><span class="line">60</span><br></pre></td><td class="code"><pre><code class="hljs xml"><span class="hljs-meta">&lt;?xml version=<span class="hljs-string">&quot;1.0&quot;</span> encoding=<span class="hljs-string">&quot;UTF-8&quot;</span>?&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">project</span> <span class="hljs-attr">xmlns</span>=<span class="hljs-string">&quot;http://maven.apache.org/POM/4.0.0&quot;</span> <span class="hljs-attr">xmlns:xsi</span>=<span class="hljs-string">&quot;http://www.w3.org/2001/XMLSchema-instance&quot;</span></span><br><span class="hljs-tag">         <span class="hljs-attr">xsi:schemaLocation</span>=<span class="hljs-string">&quot;http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">modelVersion</span>&gt;</span>4.0.0<span class="hljs-tag">&lt;/<span class="hljs-name">modelVersion</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">parent</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.springframework.boot<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>spring-boot-starter-parent<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">version</span>&gt;</span>2.7.2<span class="hljs-tag">&lt;/<span class="hljs-name">version</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">relativePath</span>/&gt;</span> <span class="hljs-comment">&lt;!-- lookup parent from repository --&gt;</span><br>    <span class="hljs-tag">&lt;/<span class="hljs-name">parent</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>com.bbs.uni<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>uni<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">version</span>&gt;</span>0.0.1-SNAPSHOT<span class="hljs-tag">&lt;/<span class="hljs-name">version</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">name</span>&gt;</span>uni<span class="hljs-tag">&lt;/<span class="hljs-name">name</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">description</span>&gt;</span>Demo project for Spring Boot<span class="hljs-tag">&lt;/<span class="hljs-name">description</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">properties</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">java.version</span>&gt;</span>1.8<span class="hljs-tag">&lt;/<span class="hljs-name">java.version</span>&gt;</span><br>    <span class="hljs-tag">&lt;/<span class="hljs-name">properties</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">dependencies</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.springframework.boot<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>spring-boot-starter-web<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br><br>        <span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.springframework.boot<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>spring-boot-starter-test<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">scope</span>&gt;</span>test<span class="hljs-tag">&lt;/<span class="hljs-name">scope</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br><br>        <span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.springframework.boot<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>spring-boot-starter-thymeleaf<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br><br>        <span class="hljs-comment">&lt;!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>com.auth0<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>java-jwt<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">version</span>&gt;</span>3.19.2<span class="hljs-tag">&lt;/<span class="hljs-name">version</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br><br>        <span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.projectlombok<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>lombok<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">version</span>&gt;</span>1.18.24<span class="hljs-tag">&lt;/<span class="hljs-name">version</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br>    <span class="hljs-tag">&lt;/<span class="hljs-name">dependencies</span>&gt;</span><br><br>    <span class="hljs-tag">&lt;<span class="hljs-name">build</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">plugins</span>&gt;</span><br>            <span class="hljs-tag">&lt;<span class="hljs-name">plugin</span>&gt;</span><br>                <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>org.springframework.boot<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>                <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>spring-boot-maven-plugin<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>            <span class="hljs-tag">&lt;/<span class="hljs-name">plugin</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">plugins</span>&gt;</span><br>    <span class="hljs-tag">&lt;/<span class="hljs-name">build</span>&gt;</span><br><br><span class="hljs-tag">&lt;/<span class="hljs-name">project</span>&gt;</span><br><br></code></pre></td></tr></table></figure>

<p>其中，关于 JWT 的依赖为：</p>
<figure class="highlight xml"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br></pre></td><td class="code"><pre><code class="hljs xml"><span class="hljs-tag">&lt;<span class="hljs-name">dependency</span>&gt;</span><br>  <span class="hljs-tag">&lt;<span class="hljs-name">groupId</span>&gt;</span>com.auth0<span class="hljs-tag">&lt;/<span class="hljs-name">groupId</span>&gt;</span><br>  <span class="hljs-tag">&lt;<span class="hljs-name">artifactId</span>&gt;</span>java-jwt<span class="hljs-tag">&lt;/<span class="hljs-name">artifactId</span>&gt;</span><br>  <span class="hljs-tag">&lt;<span class="hljs-name">version</span>&gt;</span>3.19.2<span class="hljs-tag">&lt;/<span class="hljs-name">version</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">dependency</span>&gt;</span><br></code></pre></td></tr></table></figure>

<h4 id="2-前端页面"><a href="#2-前端页面" class="headerlink" title="2. 前端页面"></a>2. 前端页面</h4><p>前端就两个页面，index.html 和 login.html ，由于用到了模板引擎，所以无法直接通过 &#x2F;index.html 这样的方式跳转，需要通过 SpringMVC ，使用 SpringMVC 处理 &#x2F;index 请求，进行 Token 验证，如果通过就跳转到 index.html ，否则跳转回 login.html，这里面有用到 Thymeleaf 获取 Session 内容的部分<br>![在这里插入图片描述](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/ef923233383448f2b0f6d1c6e2d6f919.png#">https://img-blog.csdnimg.cn/ef923233383448f2b0f6d1c6e2d6f919.png#</a> &#x3D;40%x)</p>
<p>经过模板渲染的页面需放到 templates 文件夹，在 SpringBoot 底层就是这样配置的，经过SpringMVC前面的流程后，若有页面跳转，则默认扫描 templates 内的页面，然后再使用指定的模板渲染引擎进行渲染。</p>
<p><strong>1) index.html</strong> </p>
<figure class="highlight html"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br></pre></td><td class="code"><pre><code class="hljs html"><span class="hljs-meta">&lt;!DOCTYPE <span class="hljs-keyword">html</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">html</span> <span class="hljs-attr">lang</span>=<span class="hljs-string">&quot;en&quot;</span></span><br><span class="hljs-tag">      <span class="hljs-attr">xmlns</span>=<span class="hljs-string">&quot;http://www.w3.org/1999/xhtml&quot;</span></span><br><span class="hljs-tag">      <span class="hljs-attr">xmlns:th</span>=<span class="hljs-string">&quot;http://www.thymeleaf.org&quot;</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">head</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">charset</span>=<span class="hljs-string">&quot;UTF-8&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">name</span>=<span class="hljs-string">&quot;viewport&quot;</span></span><br><span class="hljs-tag">          <span class="hljs-attr">content</span>=<span class="hljs-string">&quot;width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">http-equiv</span>=<span class="hljs-string">&quot;X-UA-Compatible&quot;</span> <span class="hljs-attr">content</span>=<span class="hljs-string">&quot;ie=edge&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">title</span>&gt;</span>Document<span class="hljs-tag">&lt;/<span class="hljs-name">title</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">head</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">body</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">form</span> <span class="hljs-attr">action</span>=<span class="hljs-string">&quot;/user/login&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">h1</span>&gt;</span>登录成功!<span class="hljs-tag">&lt;/<span class="hljs-name">h1</span>&gt;</span><span class="hljs-tag">&lt;<span class="hljs-name">br</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">form</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">body</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">html</span>&gt;</span><br></code></pre></td></tr></table></figure>

<p><strong>2）login.html</strong></p>
<figure class="highlight html"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br></pre></td><td class="code"><pre><code class="hljs html"><span class="hljs-meta">&lt;!DOCTYPE <span class="hljs-keyword">html</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">html</span> <span class="hljs-attr">lang</span>=<span class="hljs-string">&quot;en&quot;</span></span><br><span class="hljs-tag">      <span class="hljs-attr">xmlns</span>=<span class="hljs-string">&quot;http://www.w3.org/1999/xhtml&quot;</span></span><br><span class="hljs-tag">      <span class="hljs-attr">xmlns:th</span>=<span class="hljs-string">&quot;http://www.thymeleaf.org&quot;</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">head</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">charset</span>=<span class="hljs-string">&quot;UTF-8&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">name</span>=<span class="hljs-string">&quot;viewport&quot;</span></span><br><span class="hljs-tag">          <span class="hljs-attr">content</span>=<span class="hljs-string">&quot;width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">meta</span> <span class="hljs-attr">http-equiv</span>=<span class="hljs-string">&quot;X-UA-Compatible&quot;</span> <span class="hljs-attr">content</span>=<span class="hljs-string">&quot;ie=edge&quot;</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">title</span>&gt;</span>Document<span class="hljs-tag">&lt;/<span class="hljs-name">title</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">head</span>&gt;</span><br><span class="hljs-tag">&lt;<span class="hljs-name">body</span>&gt;</span><br>    <span class="hljs-tag">&lt;<span class="hljs-name">form</span> <span class="hljs-attr">action</span>=<span class="hljs-string">&quot;/user/login&quot;</span> <span class="hljs-attr">method</span>=<span class="hljs-string">&quot;post&quot;</span>&gt;</span><br>        用户名:<span class="hljs-tag">&lt;<span class="hljs-name">input</span> <span class="hljs-attr">name</span>=<span class="hljs-string">&quot;username&quot;</span>&gt;</span><span class="hljs-tag">&lt;<span class="hljs-name">br</span>&gt;</span><br>        密码:<span class="hljs-tag">&lt;<span class="hljs-name">input</span> <span class="hljs-attr">name</span>=<span class="hljs-string">&quot;password&quot;</span>&gt;</span><span class="hljs-tag">&lt;<span class="hljs-name">br</span>&gt;</span><br>        <span class="hljs-comment">&lt;!-- 如果 session 里保存了错误信息, 那么就显示在页面 --&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">p</span> <span class="hljs-attr">th:if</span>=<span class="hljs-string">&quot;session.error != null&quot;</span></span><br><span class="hljs-tag">                <span class="hljs-attr">th:text</span>=<span class="hljs-string">&quot;$&#123;session.error&#125;&quot;</span></span><br><span class="hljs-tag">                <span class="hljs-attr">style</span>=<span class="hljs-string">&quot;color: red&quot;</span>&gt;</span><br>        <span class="hljs-tag">&lt;/<span class="hljs-name">p</span>&gt;</span><br>        <span class="hljs-tag">&lt;<span class="hljs-name">button</span>&gt;</span>登录<span class="hljs-tag">&lt;/<span class="hljs-name">button</span>&gt;</span><br>    <span class="hljs-tag">&lt;/<span class="hljs-name">form</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">body</span>&gt;</span><br><span class="hljs-tag">&lt;/<span class="hljs-name">html</span>&gt;</span><br></code></pre></td></tr></table></figure>

<h4 id="3-后端代码"><a href="#3-后端代码" class="headerlink" title="3. 后端代码"></a>3. 后端代码</h4><p>![在这里插入图片描述](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/f6d24e292b0e47a3bfc5b566e24871ce.png#">https://img-blog.csdnimg.cn/f6d24e292b0e47a3bfc5b566e24871ce.png#</a> &#x3D;50%x)</p>
<p><strong>1）UniApplication.java 应用启动类</strong></p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni;<br><br><span class="hljs-keyword">import</span> org.springframework.boot.SpringApplication;<br><span class="hljs-keyword">import</span> org.springframework.boot.autoconfigure.SpringBootApplication;<br><br><span class="hljs-meta">@SpringBootApplication</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">UniApplication</span> &#123;<br>    <span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> <span class="hljs-keyword">void</span> <span class="hljs-title function_">main</span><span class="hljs-params">(String[] args)</span> &#123;<br>        SpringApplication.run(UniApplication.class, args);<br>    &#125;<br>&#125;<br></code></pre></td></tr></table></figure>

<p><strong>2）User.java 用户实体类</strong><br>@Data 注解是 Lombok 提供的功能，为实体类提供了 getter 、setter 以及 toString 方法</p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni.entity;<br><br><span class="hljs-keyword">import</span> lombok.Data;<br><br><span class="hljs-meta">@Data</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">User</span> &#123;<br>    <span class="hljs-keyword">private</span> Integer id;<br>    <span class="hljs-keyword">private</span> String username;<br>    <span class="hljs-keyword">private</span> String password;<br>&#125;<br><br></code></pre></td></tr></table></figure>

<p><strong>3）JWTUtil.java 工具类</strong></p>
<p>JWT 签名算法使用：HMAC256<br>有效时间设置为10秒，这里以测试过期效果为主<br>工具类只有两个方法</p>
<ul>
<li>createToken 方法生成只有10秒有效期的 Token，并将用户的ID和名称写到 Token</li>
<li>DecodeJWT 方法用于解析 Token 字符串，这里只需指定算法，并设置的唯一确定的密钥即可。<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br><span class="line">29</span><br><span class="line">30</span><br><span class="line">31</span><br><span class="line">32</span><br><span class="line">33</span><br><span class="line">34</span><br><span class="line">35</span><br><span class="line">36</span><br><span class="line">37</span><br><span class="line">38</span><br><span class="line">39</span><br><span class="line">40</span><br><span class="line">41</span><br><span class="line">42</span><br><span class="line">43</span><br><span class="line">44</span><br><span class="line">45</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni.utils;<br><br><span class="hljs-keyword">import</span> com.auth0.jwt.JWT;<br><span class="hljs-keyword">import</span> com.auth0.jwt.JWTCreator;<br><span class="hljs-keyword">import</span> com.auth0.jwt.JWTVerifier;<br><span class="hljs-keyword">import</span> com.auth0.jwt.algorithms.Algorithm;<br><span class="hljs-keyword">import</span> com.auth0.jwt.interfaces.Claim;<br><span class="hljs-keyword">import</span> com.auth0.jwt.interfaces.DecodedJWT;<br><span class="hljs-keyword">import</span> com.bbs.uni.entity.User;<br><span class="hljs-keyword">import</span> lombok.extern.slf4j.Slf4j;<br><br><span class="hljs-keyword">import</span> java.util.Calendar;<br><span class="hljs-keyword">import</span> java.util.Date;<br><br><span class="hljs-meta">@Slf4j</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">JWTUtil</span> &#123;<br>    <span class="hljs-comment">// 服务端签名密钥 （不能泄露）</span><br>    <span class="hljs-keyword">private</span> <span class="hljs-keyword">static</span> <span class="hljs-keyword">final</span> <span class="hljs-type">String</span> <span class="hljs-variable">TOKEN_SECRET</span> <span class="hljs-operator">=</span> <span class="hljs-string">&quot;IamUNI&quot;</span>;<br>    <span class="hljs-comment">// 生成 Token</span><br>    <span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> String <span class="hljs-title function_">createToken</span><span class="hljs-params">(User user)</span>&#123;<br>        <span class="hljs-comment">// 使用 JDK 自带的 java.util.Calendar 日历工具类</span><br>        <span class="hljs-comment">// 获取当前时间</span><br>        <span class="hljs-type">Date</span> <span class="hljs-variable">date</span> <span class="hljs-operator">=</span> <span class="hljs-keyword">new</span> <span class="hljs-title class_">Date</span>();<br>        log.info(<span class="hljs-string">&quot;[&#123;&#125;]Creating Token: &quot;</span>, date);<br>        <span class="hljs-type">Calendar</span> <span class="hljs-variable">calendar</span> <span class="hljs-operator">=</span> Calendar.getInstance();<br>        <span class="hljs-comment">// 设置有效时间为 10 秒</span><br>        calendar.add(Calendar.SECOND, <span class="hljs-number">10</span>);<br>        <span class="hljs-comment">// 创建构造器</span><br>        JWTCreator.<span class="hljs-type">Builder</span> <span class="hljs-variable">builder</span> <span class="hljs-operator">=</span> JWT.create();<br>        <span class="hljs-comment">// 设置 claim</span><br>        <span class="hljs-keyword">return</span> builder.withClaim(<span class="hljs-string">&quot;uid&quot;</span>, user.getId())<br>                .withClaim(<span class="hljs-string">&quot;username&quot;</span>, user.getUsername())<br>                .withIssuedAt(date) 						<span class="hljs-comment">// 发行时间</span><br>                .withExpiresAt(calendar.getTime()) 			<span class="hljs-comment">// 过期时间</span><br>                .sign(Algorithm.HMAC256(TOKEN_SECRET));     <span class="hljs-comment">// 签名</span><br>    &#125;<br>    <span class="hljs-comment">// 解析 Token</span><br>    <span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> DecodedJWT <span class="hljs-title function_">verifyToken</span><span class="hljs-params">(String token)</span>&#123;<br>        <span class="hljs-comment">// 采取统一的解码方式</span><br>        <span class="hljs-keyword">return</span> JWT.require(Algorithm.HMAC256(TOKEN_SECRET))<br>                  .build()<br>                  .verify(token);<br>    &#125;<br>&#125;<br><br></code></pre></td></tr></table></figure></li>
</ul>
<p><strong>4）DispatcherController.java 控制页面跳转类</strong></p>
<p>由于是前后端不分离的，所以经过模板引擎渲染的页面需要通过 Controller 跳转</p>
<blockquote>
<p>SpringMVC底层在处理字符串的返回值的 handle 方法时，若未使用   @ResponseBody 且 Controller类不是使用 @RestController 注解标记，则默认会执行到视图解析器，例如：这里返回的 login ，底层就会去 templates文件夹里找 &#x2F;login.html 页面根据底层的 Model 对象进行渲染</p>
</blockquote>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni.controller;<br><br><span class="hljs-keyword">import</span> org.springframework.stereotype.Controller;<br><span class="hljs-keyword">import</span> org.springframework.web.bind.annotation.GetMapping;<br><br><span class="hljs-meta">@Controller</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">DispatcherController</span> &#123;<br>    <span class="hljs-meta">@GetMapping(&#123;&quot;/login.html&quot;, &quot;/&quot;&#125;)</span><br>    <span class="hljs-keyword">public</span> String <span class="hljs-title function_">toLogin</span><span class="hljs-params">()</span> &#123;<span class="hljs-keyword">return</span> <span class="hljs-string">&quot;login&quot;</span>; &#125;<br>&#125;<br></code></pre></td></tr></table></figure>
<p><strong>5）UserController.java</strong></p>
<p>自定义的 Controller 类只有 login 和 toIndex 这两个方法，接下来对这两个方法实现的功能进行简单的讲解：</p>
<ul>
<li><strong>login ()</strong></li>
</ul>
<p>login 用于登录，获取前端的用户信息，然后生成调用之前定义的工具类生成 Token，并写入到HttpServletRepsonse 的 cookie中，有效期为3600秒，这里是随便设的。由于是测试，就没有 Service 层 和 DAO层，知道大概逻辑就行。</p>
<ul>
<li><strong>toIndex ()</strong></li>
</ul>
<p><strong>toIndex</strong>  处理 &#x2F;index的请求，可以理解为访问 index.html 页面的请求，我们限制只有当 JWT 有效才能访问到页面</p>
<p>这里在 toIndex 方法里写了一系列判断逻辑，首先在获取 Cookie 时，<code>@CookieValue(name = &quot;token&quot;, required = false) Cookie cookie</code>用到了 SpringMVC 的传参，@CookieValue 注解的作用是从 HttpServletResponse 对象里找对应的 Cookie 列表（即浏览器的 Cookie）确定唯一的 Cookie，这里则会查找 key &#x3D; “token” 的 cookie，除此之外还设置了 required &#x3D; false ，因为如果没有登录就访问的话，这个 Cookie 是不存在的，这个选项默认为 true，不手动设置一下，在访问时后端就会报错。<br>我们可以自己判断接收的 Cookie 是否为空，为空的话将错误信息存入 Session，这样前端进行模板渲染时就可以显示给用户这条错误信息</p>
<p>从 Cookie 获取 Token，然后调用 JWTUtil 工具类的验证方法，返回结果为 DecodedJWT 对象，这里面存储了 JWT 的主要信息，包括三个要素、Header、Payload 和 Signature，同时可以拿到我们之前放置的用户信息（这个在后面会写到）。</p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br><span class="line">29</span><br><span class="line">30</span><br><span class="line">31</span><br><span class="line">32</span><br><span class="line">33</span><br><span class="line">34</span><br><span class="line">35</span><br><span class="line">36</span><br><span class="line">37</span><br><span class="line">38</span><br><span class="line">39</span><br><span class="line">40</span><br><span class="line">41</span><br><span class="line">42</span><br><span class="line">43</span><br><span class="line">44</span><br><span class="line">45</span><br><span class="line">46</span><br><span class="line">47</span><br><span class="line">48</span><br><span class="line">49</span><br><span class="line">50</span><br><span class="line">51</span><br><span class="line">52</span><br><span class="line">53</span><br><span class="line">54</span><br><span class="line">55</span><br><span class="line">56</span><br><span class="line">57</span><br><span class="line">58</span><br><span class="line">59</span><br><span class="line">60</span><br><span class="line">61</span><br><span class="line">62</span><br><span class="line">63</span><br><span class="line">64</span><br><span class="line">65</span><br><span class="line">66</span><br><span class="line">67</span><br><span class="line">68</span><br><span class="line">69</span><br><span class="line">70</span><br><span class="line">71</span><br><span class="line">72</span><br><span class="line">73</span><br><span class="line">74</span><br><span class="line">75</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni.controller;<br><br><span class="hljs-keyword">import</span> com.auth0.jwt.exceptions.TokenExpiredException;<br><span class="hljs-keyword">import</span> com.auth0.jwt.interfaces.DecodedJWT;<br><span class="hljs-keyword">import</span> com.bbs.uni.entity.User;<br><span class="hljs-keyword">import</span> com.bbs.uni.utils.JWTUtil;<br><span class="hljs-keyword">import</span> lombok.extern.slf4j.Slf4j;<br><span class="hljs-keyword">import</span> org.springframework.stereotype.Controller;<br><span class="hljs-keyword">import</span> org.springframework.web.bind.annotation.CookieValue;<br><span class="hljs-keyword">import</span> org.springframework.web.bind.annotation.GetMapping;<br><span class="hljs-keyword">import</span> org.springframework.web.bind.annotation.PostMapping;<br><br><span class="hljs-keyword">import</span> javax.servlet.http.Cookie;<br><span class="hljs-keyword">import</span> javax.servlet.http.HttpServletResponse;<br><span class="hljs-keyword">import</span> javax.servlet.http.HttpSession;<br><br><span class="hljs-meta">@Controller</span><br><span class="hljs-meta">@Slf4j</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">UserController</span> &#123;<br>    <span class="hljs-meta">@PostMapping(&quot;/user/login&quot;)</span><br>    <span class="hljs-keyword">public</span> String <span class="hljs-title function_">login</span><span class="hljs-params">(</span><br><span class="hljs-params">            User user,</span><br><span class="hljs-params">            HttpServletResponse response,</span><br><span class="hljs-params">            HttpSession session</span><br><span class="hljs-params">    )</span>&#123;<br>        <span class="hljs-comment">// -- Start 业务逻辑 (省略了 Service、DAO)--</span><br>        <span class="hljs-type">boolean</span> <span class="hljs-variable">flag</span> <span class="hljs-operator">=</span> <span class="hljs-literal">false</span>;<br>        <span class="hljs-keyword">if</span>(<span class="hljs-string">&quot;admin&quot;</span>.equals(user.getUsername())<br>            &amp;&amp; <span class="hljs-string">&quot;123456&quot;</span>.equals(user.getPassword()))&#123;<br>            flag = <span class="hljs-literal">true</span>;<br>        &#125;<br>        <span class="hljs-comment">// -- End   业务逻辑 --</span><br>        <span class="hljs-keyword">if</span>(!flag) &#123;<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;用户名或密码错误!&quot;</span>);<br>            <span class="hljs-comment">// 重定向</span><br>            <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;redirect:/login.html&quot;</span>;<br>        &#125;<br>        <span class="hljs-comment">// 生成 Token</span><br>        <span class="hljs-type">String</span> <span class="hljs-variable">token</span> <span class="hljs-operator">=</span> JWTUtil.createToken(user);<br>        <span class="hljs-type">Cookie</span> <span class="hljs-variable">cookie</span> <span class="hljs-operator">=</span> <span class="hljs-keyword">new</span> <span class="hljs-title class_">Cookie</span>(<span class="hljs-string">&quot;token&quot;</span>, token);<br>        cookie.setMaxAge(<span class="hljs-number">30</span>);<br>        cookie.setPath(<span class="hljs-string">&quot;/&quot;</span>);<br>        <span class="hljs-comment">// 保存到浏览器的 Cookie</span><br>        response.addCookie(cookie);<br>        <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;redirect:/index&quot;</span>;<br>    &#125;<br>    <span class="hljs-meta">@GetMapping(&quot;/index&quot;)</span><br>    <span class="hljs-keyword">public</span> String <span class="hljs-title function_">toIndex</span><span class="hljs-params">(</span><br><span class="hljs-params">            HttpSession session,</span><br><span class="hljs-params">            <span class="hljs-meta">@CookieValue(name = &quot;token&quot;, required = false)</span></span><br><span class="hljs-params">                    Cookie cookie</span><br><span class="hljs-params">    )</span>&#123;<br>        <span class="hljs-keyword">if</span>(cookie == <span class="hljs-literal">null</span>)&#123;<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;请先登录&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;redirect:/login.html&quot;</span>;<br>        &#125;<br>        <span class="hljs-comment">// 获取 Token</span><br>        <span class="hljs-type">String</span> <span class="hljs-variable">token</span> <span class="hljs-operator">=</span> cookie.getValue();<br>        log.info(<span class="hljs-string">&quot;Verifying Token: &#123;&#125;&quot;</span> ,token);<br>        <span class="hljs-comment">// 验证 Token</span><br>        <span class="hljs-type">DecodedJWT</span> <span class="hljs-variable">decodedJWT</span> <span class="hljs-operator">=</span> <span class="hljs-literal">null</span>;<br>        <span class="hljs-keyword">try</span>&#123;<br>            decodedJWT = JWTUtil.verifyToken(token);<br>            <span class="hljs-comment">// 打印日志: 登录成功!</span><br>            log.info(<span class="hljs-string">&quot;[Login Success]: Header:&#123;&#125;, Payload:&#123;&#125;,Signature:&#123;&#125;&quot;</span> ,<br>                    decodedJWT.getHeader(),<br>                    decodedJWT.getPayload(),<br>                    decodedJWT.getSignature());<br>        &#125; <span class="hljs-keyword">catch</span> (TokenExpiredException e)&#123;<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;身份认证已过期,请重新登录&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;redirect:/login.html&quot;</span>;<br>        &#125;<br>        <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;index&quot;</span>;<br>    &#125;<br>&#125;<br></code></pre></td></tr></table></figure>
<h4 id="4-测试结果"><a href="#4-测试结果" class="headerlink" title="4. 测试结果"></a>4. 测试结果</h4><p>测试结果我采取动图来展示，个人觉得比较直观。<br>在前后端不分离时，登录时若用户名和密码不匹配，则将错误信息记录在session（很基础的用法），然后前端通过 Thymeleaf 获取到session里的error信息，显示到页面。<br>登录成功后，反复刷新 &#x2F;index ，JWT有效时可以正常访问，10秒后， JWT 过期，再次刷新即跳转回登录页面，而且有认证已过期的提示<br><a target="_blank" rel="noopener" href="https://tooltt.com/jwt-decode/">
</a><br>后端代码采用了 Lombok 提供的日志功能 @Slf4j，我们在创建 Token 和 登录时分别输出了Token、Token的三个要素 Header、Payload 和 Signature。</p>
<p>通过现成的工具解析 JWT，可以查看其中的一些信息，JWT 在线解析网站：<a target="_blank" rel="noopener" href="https://tooltt.com/jwt-decode/">https://tooltt.com/jwt-decode/</a></p>
<p><img src="https://img-blog.csdnimg.cn/caaa74a4d71a45ef84da04dfdc060dec.gif#pic_center" srcset="/img/loading.gif" lazyload alt="在这里插入图片描述"></p>
<p>总结一下这种简单版的优缺点：</p>
<p><strong>优点：</strong></p>
<ul>
<li>使用 Token 进行身份认证，无需每次访问页面都查询数据库</li>
<li>具有时效性，等 Token 到了过期时间就自动失效了</li>
</ul>
<p><strong>缺点：</strong></p>
<ul>
<li>缺少拦截器，每次处理都得再次判断 JWT 是否有效，比如这里只是 &#x2F;index 进行处理，在增加更多 hanlde 方法后，重复的代码量就变多了</li>
<li>缺少状态检测，不适用于用户状态修改的情况，比如用户修改密码了，我们设置的 JWT 依然有效，虽然用户不能用旧密码登录，但是用户可以用旧的 JWT 访问受限制的 &#x2F;index </li>
<li>使用 Cookie 存储，需要设置有效时间，这会影响 JWT 的时间设置，比如当 JWT 有效时间为 1天，那么 Cookie 的有效时间必须大于或等于 1天。</li>
</ul>
<h3 id="5-1-2-拦截器版"><a href="#5-1-2-拦截器版" class="headerlink" title="5.1.2 拦截器版"></a>5.1.2 拦截器版</h3><p>在这个版本，我们使用拦截器来判断 JWT 是否有效，暂时继续使用 Cookie 存储，因为在前后端不分离的项目中，每次请求不一定都会携带请求头或者请求体，可能就是单纯的想访问经过渲染的页面而已，而 Cookie 是每次请求都会携带的，所以不分离的项目用 Cookie 比较方便。</p>
<p>相比简单版，只有如图标注的类有变化，其他类包括前端页面都和简单版一致</p>
<p>![在这里插入图片描述](<a target="_blank" rel="noopener" href="https://img-blog.csdnimg.cn/319edddc96f3433180e880038e7c9e20.png#">https://img-blog.csdnimg.cn/319edddc96f3433180e880038e7c9e20.png#</a> &#x3D;50%x)</p>
<p><strong>1）JWTUtil.java 工具类</strong></p>
<p>工具类中的生成Token、解析Token的方法和之前简单版里的一样，不改变原先的代码，除此之外添加了一个解析 Payload 有效载荷的方法，根据之前的学习，JWT的前两个部分 Header 和 Payload 都是通过 Base64 编码的，所以我们通过 SpringBoot 提供的 Base64工具类，对原先编码过的 payload 进行解码，结果为char[]，然后再使用 jackson 类中的 ObjectMapper，即对象映射，将原先 payload 里的解码内容转化为标准JSON格式的字符串对应的 Map键值对映射。</p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-comment">// import org.springframework.util.Base64Utils;</span><br><span class="hljs-comment">// import com.fasterxml.jackson.databind.ObjectMapper;</span><br><span class="hljs-comment">// 解析 Payload</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">static</span> Map&lt;String, Object&gt; <span class="hljs-title function_">decodePayload</span><span class="hljs-params">(String payload)</span>&#123;<br>    <span class="hljs-type">ObjectMapper</span> <span class="hljs-variable">objectMapper</span> <span class="hljs-operator">=</span> <span class="hljs-keyword">new</span> <span class="hljs-title class_">ObjectMapper</span>();<br>    <span class="hljs-type">HashMap</span> <span class="hljs-variable">hashMap</span> <span class="hljs-operator">=</span> <span class="hljs-literal">null</span>;<br>    <span class="hljs-keyword">try</span> &#123;<br>        hashMap = objectMapper.readValue(Base64Utils.decodeFromString(payload), HashMap.class);<br>    &#125; <span class="hljs-keyword">catch</span> (IOException e) &#123;<br>        e.printStackTrace();<br>    &#125;<br>    <span class="hljs-keyword">return</span> hashMap;<br>&#125;<br></code></pre></td></tr></table></figure>
<p><strong>2）JWTInterceoptor.java 拦截器类</strong></p>
<p>通过自定义拦截器，在访问指定 Controller 时，先经过拦截器的 <code>preHandle ()</code> 方法，这个方法里具有 request 和 response 对象，可以获取到请求和响应体的信息，我们只要在这里面获取 Cookie，查找里面的 token，然后进行 JWT 验证，如果验证通过则 返回 true，即放行，否则返回 false，拦截成功，阻止客户端访问到 Controller，并重定向到登录页面。<br>在验证 JWT 时，本质上是调用了 JWT.require(…).varify()方法，该方法会抛出一些关于JWT的异常，这里我们可以对其进行捕获，这样方便在抛异常时执行自定义的内容。</p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br><span class="line">15</span><br><span class="line">16</span><br><span class="line">17</span><br><span class="line">18</span><br><span class="line">19</span><br><span class="line">20</span><br><span class="line">21</span><br><span class="line">22</span><br><span class="line">23</span><br><span class="line">24</span><br><span class="line">25</span><br><span class="line">26</span><br><span class="line">27</span><br><span class="line">28</span><br><span class="line">29</span><br><span class="line">30</span><br><span class="line">31</span><br><span class="line">32</span><br><span class="line">33</span><br><span class="line">34</span><br><span class="line">35</span><br><span class="line">36</span><br><span class="line">37</span><br><span class="line">38</span><br><span class="line">39</span><br><span class="line">40</span><br><span class="line">41</span><br><span class="line">42</span><br><span class="line">43</span><br><span class="line">44</span><br><span class="line">45</span><br><span class="line">46</span><br><span class="line">47</span><br><span class="line">48</span><br><span class="line">49</span><br><span class="line">50</span><br><span class="line">51</span><br><span class="line">52</span><br><span class="line">53</span><br><span class="line">54</span><br><span class="line">55</span><br><span class="line">56</span><br><span class="line">57</span><br><span class="line">58</span><br><span class="line">59</span><br><span class="line">60</span><br><span class="line">61</span><br><span class="line">62</span><br><span class="line">63</span><br><span class="line">64</span><br><span class="line">65</span><br><span class="line">66</span><br><span class="line">67</span><br><span class="line">68</span><br><span class="line">69</span><br><span class="line">70</span><br><span class="line">71</span><br><span class="line">72</span><br><span class="line">73</span><br><span class="line">74</span><br><span class="line">75</span><br><span class="line">76</span><br><span class="line">77</span><br><span class="line">78</span><br><span class="line">79</span><br><span class="line">80</span><br><span class="line">81</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-keyword">package</span> com.bbs.uni.interceptor;<br><br><span class="hljs-keyword">import</span> com.auth0.jwt.exceptions.AlgorithmMismatchException;<br><span class="hljs-keyword">import</span> com.auth0.jwt.exceptions.SignatureVerificationException;<br><span class="hljs-keyword">import</span> com.auth0.jwt.exceptions.TokenExpiredException;<br><span class="hljs-keyword">import</span> com.auth0.jwt.interfaces.DecodedJWT;<br><span class="hljs-keyword">import</span> com.bbs.uni.utils.JWTUtil;<br><span class="hljs-keyword">import</span> lombok.extern.slf4j.Slf4j;<br><span class="hljs-keyword">import</span> org.springframework.web.servlet.HandlerInterceptor;<br><span class="hljs-keyword">import</span> org.thymeleaf.util.ArrayUtils;<br><br><span class="hljs-keyword">import</span> javax.servlet.http.Cookie;<br><span class="hljs-keyword">import</span> javax.servlet.http.HttpServletRequest;<br><span class="hljs-keyword">import</span> javax.servlet.http.HttpServletResponse;<br><span class="hljs-keyword">import</span> javax.servlet.http.HttpSession;<br><span class="hljs-keyword">import</span> java.util.HashMap;<br><br><span class="hljs-comment">/**</span><br><span class="hljs-comment"> * 自定义拦截器类</span><br><span class="hljs-comment"> * JWT 拦截器</span><br><span class="hljs-comment"> */</span><br><span class="hljs-meta">@Slf4j</span><br><span class="hljs-keyword">public</span> <span class="hljs-keyword">class</span> <span class="hljs-title class_">JWTInterceptor</span> <span class="hljs-keyword">implements</span> <span class="hljs-title class_">HandlerInterceptor</span> &#123;<br>    <span class="hljs-meta">@Override</span><br>    <span class="hljs-keyword">public</span> <span class="hljs-type">boolean</span> <span class="hljs-title function_">preHandle</span><span class="hljs-params">(</span><br><span class="hljs-params">            HttpServletRequest request,</span><br><span class="hljs-params">            HttpServletResponse response,</span><br><span class="hljs-params">            Object handler)</span> <span class="hljs-keyword">throws</span> Exception &#123;<br>        <span class="hljs-comment">// 获取 Session</span><br>        <span class="hljs-type">HttpSession</span> <span class="hljs-variable">session</span> <span class="hljs-operator">=</span> request.getSession();<br>        <span class="hljs-comment">// 获取请求的 Cookies</span><br>        Cookie[] cookies = request.getCookies();<br>        <span class="hljs-type">String</span> <span class="hljs-variable">token</span> <span class="hljs-operator">=</span> <span class="hljs-literal">null</span>;   <span class="hljs-comment">// JWT 字符串</span><br>        DecodedJWT decodedJWT; <span class="hljs-comment">// 解码的 JWT 对象</span><br>        <span class="hljs-comment">// 查找 Cookie中的 JWT</span><br>        <span class="hljs-keyword">if</span>(!ArrayUtils.isEmpty(cookies))&#123;<br>            <span class="hljs-keyword">for</span> (Cookie cookie : cookies) &#123;<br>                <span class="hljs-keyword">if</span>(<span class="hljs-string">&quot;token&quot;</span>.equals(cookie.getName()))&#123;<br>                    token = cookie.getValue();<br>                &#125;<br>            &#125;<br>        &#125;<br>        log.info(<span class="hljs-string">&quot;Received Token: &quot;</span> + token);<br>        <span class="hljs-keyword">if</span>(token == <span class="hljs-literal">null</span>) &#123;<br>            log.info(<span class="hljs-string">&quot;VerifyToken: [] Result: Token不存在&quot;</span>);<br>            response.sendRedirect(<span class="hljs-string">&quot;/login.html&quot;</span>);<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;请先进行登录&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-literal">false</span>;<br>        &#125;<br>        <span class="hljs-keyword">try</span>&#123;<br>            decodedJWT = JWTUtil.verifyToken(token);<br>        &#125; <span class="hljs-keyword">catch</span> (SignatureVerificationException e)&#123;<br>            log.error(<span class="hljs-string">&quot;VerifyToken: &quot;</span> + token +<span class="hljs-string">&quot; Result: Token的签名无效&quot;</span>);<br>            response.sendRedirect(<span class="hljs-string">&quot;/login.html&quot;</span>);<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;Token的签名无效&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-literal">false</span>;<br>        &#125; <span class="hljs-keyword">catch</span> (TokenExpiredException e)&#123;<br>            log.error(<span class="hljs-string">&quot;VerifyToken: &quot;</span> + token +<span class="hljs-string">&quot; Result: Token已过期&quot;</span>);<br>            response.sendRedirect(<span class="hljs-string">&quot;/login.html&quot;</span>);<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;Token过期啦,请重新登录吧!&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-literal">false</span>;<br>        &#125; <span class="hljs-keyword">catch</span> (AlgorithmMismatchException e)&#123;<br>            log.error(<span class="hljs-string">&quot;VerifyToken: &quot;</span> + token +<span class="hljs-string">&quot; Result: Token算法不一致&quot;</span>);<br>            response.sendRedirect(<span class="hljs-string">&quot;/login.html&quot;</span>);<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;Token的算法不一样&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-literal">false</span>;<br>        &#125; <span class="hljs-keyword">catch</span> (Exception e)&#123;<br>            log.error(<span class="hljs-string">&quot;VerifyToken: &quot;</span> + token +<span class="hljs-string">&quot; Result: Token无效&quot;</span>);<br>            response.sendRedirect(<span class="hljs-string">&quot;/login.html&quot;</span>);<br>            session.setAttribute(<span class="hljs-string">&quot;error&quot;</span>, <span class="hljs-string">&quot;Token错误, 请重新登录&quot;</span>);<br>            <span class="hljs-keyword">return</span> <span class="hljs-literal">false</span>;<br>        &#125;<br>        <span class="hljs-comment">// 验证通过, 给请求体添加 Token 参数</span><br>        <span class="hljs-comment">// 记录 Token</span><br>        HashMap&lt;Object, Object&gt; map = <span class="hljs-keyword">new</span> <span class="hljs-title class_">HashMap</span>&lt;&gt;();<br>        map.put(<span class="hljs-string">&quot;token&quot;</span>, token);<br>        map.put(<span class="hljs-string">&quot;payload&quot;</span>, decodedJWT.getPayload());<br>        request.setAttribute(<span class="hljs-string">&quot;token&quot;</span>, map);<br>        <span class="hljs-keyword">return</span> <span class="hljs-literal">true</span>;<br>    &#125;<br>&#125;<br></code></pre></td></tr></table></figure>
<p><strong>3）UserController.java 用户控制器类</strong></p>
<p>login() 方法和之前一样，登录判断用户信息，若匹配则生成 Token并保存到 Cookie，这里仅保存3600秒，只用于测试。而 toIndex() 方法则有变化，不用像之前那么麻烦地去处理 Token了，这个步骤已交给了 <strong>拦截器</strong>，同时我们在 toIndex()里可通过 HttpServletRequest 对象 获取到拦截器里添加的Token字符串以及 Token 的 Payload 内容，获取的结果为 Map 键值对。</p>
<figure class="highlight java"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><code class="hljs java"><span class="hljs-meta">@GetMapping(&quot;/index&quot;)</span><br><span class="hljs-keyword">public</span> String <span class="hljs-title function_">toIndex</span><span class="hljs-params">(HttpServletRequest request)</span>&#123;<br>    Map&lt;String, String&gt; tokenInfo = (Map&lt;String, String&gt;) request.getAttribute(<span class="hljs-string">&quot;token&quot;</span>);<br>    log.info(<span class="hljs-string">&quot;Login Success! Token:&#123;&#125; &quot;</span>, JWTUtil.decodePayload(tokenInfo.get(<span class="hljs-string">&quot;payload&quot;</span>)));<br>    <span class="hljs-keyword">return</span> <span class="hljs-string">&quot;index&quot;</span>;<br>&#125;<br></code></pre></td></tr></table></figure>

<p>最终测试效果：</p>
<p><img src="https://img-blog.csdnimg.cn/1ea50263b842481ebdd015387b90acf3.gif#pic_center" srcset="/img/loading.gif" lazyload alt="在这里插入图片描述"></p>
<h1 id="六、总结"><a href="#六、总结" class="headerlink" title="六、总结"></a>六、总结</h1><hr>
<p>通过本次学习，我们了解 Cookie、Session、Token、JWT 四者的基本概念，同时也知道了它们之间的区别，至此，我们通过两种版本的 Web Demo 来熟悉 JWT的基本使用，熟悉了 JWT 的组成结构，Header、Payload 和 Signature，前两个是基于 Base64 编码的，而签名 SIgnature 则是由服务端来决定，通过【加密算法】 + 【密钥】规定一种加密机制，从而确定签名。</p>
<p>在上述案例中，签名的密钥是固定的，只要不泄露，密码就不会出现问题，当然可以设置的更复杂一些，比如拿用户的用户名进行加密，然后再次使用加密算法进行签名，即二次加密，最后将加密后的用户名存储到 Payload里，这样一来每次 JWT 验证，既不用查询数据库，也不用担心各用户的签名都一样。</p>
<p>JWT 主要是用于解决跨域访问和避免同源策略而出现的，下一次学习我们将熟悉 JWT 在前后端分离中的应用。</p>
<h1 id="参-考-资-料"><a href="#参-考-资-料" class="headerlink" title="参  考  资  料"></a>参  考  资  料</h1><p>[1] <a target="_blank" rel="noopener" href="https://juejin.cn/post/6844904034181070861">https://juejin.cn/post/6844904034181070861</a></p>
<p>[2] <a target="_blank" rel="noopener" href="http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html">http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html</a></p>

                
              </div>
            
            <hr/>
            <div>
              <div class="post-metas my-3">
  
    <div class="post-meta mr-3 d-flex align-items-center">
      <i class="iconfont icon-category"></i>
      

<span class="category-chains">
  
  
    
      <span class="category-chain">
        
  <a href="/categories/JavaEE/" class="category-chain-item">JavaEE</a>
  
  
    <span>></span>
    
  <a href="/categories/JavaEE/Web/" class="category-chain-item">Web</a>
  
  

  

      </span>
    
  
</span>

    </div>
  
  
    <div class="post-meta">
      <i class="iconfont icon-tags"></i>
      
        <a href="/tags/JavaWeb/">#JavaWeb</a>
      
        <a href="/tags/JWT/">#JWT</a>
      
        <a href="/tags/%E8%B7%A8%E5%9F%9F/">#跨域</a>
      
    </div>
  
</div>


              
  

  <div class="license-box my-3">
    <div class="license-title">
      <div>Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较</div>
      <div>http://example.com/2022/07/24/Web开发 身份验证 _ SpringBoot 整合 JWT _ 前后端不分离的案例 _ Cookie、Session、Token 、JWT概述与比较/</div>
    </div>
    <div class="license-meta">
      
        <div class="license-meta-item">
          <div>作者</div>
          <div>John Doe</div>
        </div>
      
      
        <div class="license-meta-item license-meta-date">
          <div>发布于</div>
          <div>2022年7月24日</div>
        </div>
      
      
      <div class="license-meta-item">
        <div>许可协议</div>
        <div>
          
            
            
              <a target="_blank" href="https://creativecommons.org/licenses/by/4.0/">
              <span class="hint--top hint--rounded" aria-label="BY - 署名">
                <i class="iconfont icon-by"></i>
              </span>
              </a>
            
          
        </div>
      </div>
    </div>
    <div class="license-icon iconfont"></div>
  </div>



              
                <div class="post-prevnext my-3">
                  <article class="post-prev col-6">
                    
                    
                      <a href="/2022/07/24/Vue2%20%E7%AC%94%E8%AE%B03%20Vue2%E4%B8%89%E7%A7%8Dslot%E6%8F%92%E6%A7%BD%E7%9A%84%E6%A6%82%E5%BF%B5%E4%B8%8E%E8%BF%90%E7%94%A8%20_%20ES6%20%E5%AF%B9%E8%B1%A1%E7%9A%84%E8%A7%A3%E6%9E%84%E8%B5%8B%E5%80%BC%20_%20%E5%9F%BA%E4%BA%8EVue2%E4%BD%BF%E7%94%A8axios%E5%8F%91%E9%80%81%E8%AF%B7%E6%B1%82%E5%AE%9E%E7%8E%B0GitHub%E6%A1%88%E4%BE%8B%20_%20%E6%B5%8F%E8%A7%88%E5%99%A8%E8%B7%A8%E5%9F%9F%E9%97%AE%E9%A2%98%E4%B8%8E%E8%A7%A3%E5%86%B3/" title="Vue2 笔记3 Vue2三种slot插槽的概念与运用 _ ES6 对象的解构赋值 _ 基于Vue2使用axios发送请求实现GitHub案例 _ 浏览器跨域问题与解决">
                        <i class="iconfont icon-arrowleft"></i>
                        <span class="hidden-mobile">Vue2 笔记3 Vue2三种slot插槽的概念与运用 _ ES6 对象的解构赋值 _ 基于Vue2使用axios发送请求实现GitHub案例 _ 浏览器跨域问题与解决</span>
                        <span class="visible-mobile">上一篇</span>
                      </a>
                    
                  </article>
                  <article class="post-next col-6">
                    
                    
                      <a href="/2022/07/21/%E8%AE%BE%E8%AE%A1%E6%A8%A1%E5%BC%8F%20%E7%AC%94%E8%AE%B04%20_%20%E7%AE%80%E5%8D%95%E5%B7%A5%E5%8E%82%E6%A8%A1%E5%BC%8F%20%E5%9C%A8%E6%BA%90%E7%A0%81%E4%B8%AD%E7%9A%84%E5%BA%94%E7%94%A8%20_%20Calendar%20%E6%97%A5%E5%8E%86%20_%20%E6%BA%90%E7%A0%81%E6%B5%85%E6%9E%90%20_%20%E4%BD%BF%E7%94%A8%E6%80%BB%E7%BB%93%20_%20%E5%BB%BA%E9%80%A0%E8%80%85%E6%A8%A1%E5%BC%8F/" title="设计模式 笔记4 _ 简单工厂模式 在源码中的应用 _ Calendar 日历 _ 源码浅析 _ 使用总结 _ 建造者模式">
                        <span class="hidden-mobile">设计模式 笔记4 _ 简单工厂模式 在源码中的应用 _ Calendar 日历 _ 源码浅析 _ 使用总结 _ 建造者模式</span>
                        <span class="visible-mobile">下一篇</span>
                        <i class="iconfont icon-arrowright"></i>
                      </a>
                    
                  </article>
                </div>
              
            </div>

            
          </article>
        </div>
      </div>
    </div>

    <div class="side-col d-none d-lg-block col-lg-2">
      
  <aside class="sidebar" style="margin-left: -1rem">
    <div id="toc">
  <p class="toc-header"><i class="iconfont icon-list"></i>&nbsp;目录</p>
  <div class="toc-body" id="toc-body"></div>
</div>



  </aside>


    </div>
  </div>
</div>





  



  



  



  



  







    

    
      <a id="scroll-top-button" aria-label="TOP" href="#" role="button">
        <i class="iconfont icon-arrowup" aria-hidden="true"></i>
      </a>
    

    
      <div class="modal fade" id="modalSearch" tabindex="-1" role="dialog" aria-labelledby="ModalLabel"
     aria-hidden="true">
  <div class="modal-dialog modal-dialog-scrollable modal-lg" role="document">
    <div class="modal-content">
      <div class="modal-header text-center">
        <h4 class="modal-title w-100 font-weight-bold">搜索</h4>
        <button type="button" id="local-search-close" class="close" data-dismiss="modal" aria-label="Close">
          <span aria-hidden="true">&times;</span>
        </button>
      </div>
      <div class="modal-body mx-3">
        <div class="md-form mb-5">
          <input type="text" id="local-search-input" class="form-control validate">
          <label data-error="x" data-success="v" for="local-search-input">关键词</label>
        </div>
        <div class="list-group" id="local-search-result"></div>
      </div>
    </div>
  </div>
</div>

    

    
  </main>

  <footer>
    <div class="footer-inner">
  
    <div class="footer-content">
       <a href="https://hexo.io" target="_blank" rel="nofollow noopener"><span>Hexo</span></a> <i class="iconfont icon-love"></i> <a href="https://github.com/fluid-dev/hexo-theme-fluid" target="_blank" rel="nofollow noopener"><span>Fluid</span></a> 
    </div>
  
  
  
  
</div>

  </footer>

  <!-- Scripts -->
  
  <script  src="https://lib.baomitu.com/nprogress/0.2.0/nprogress.min.js" ></script>
  <link  rel="stylesheet" href="https://lib.baomitu.com/nprogress/0.2.0/nprogress.min.css" />

  <script>
    NProgress.configure({"showSpinner":false,"trickleSpeed":100})
    NProgress.start()
    window.addEventListener('load', function() {
      NProgress.done();
    })
  </script>


<script  src="https://lib.baomitu.com/jquery/3.6.0/jquery.min.js" ></script>
<script  src="https://lib.baomitu.com/twitter-bootstrap/4.6.1/js/bootstrap.min.js" ></script>
<script  src="/js/events.js" ></script>
<script  src="/js/plugins.js" ></script>


  <script  src="https://lib.baomitu.com/typed.js/2.0.12/typed.min.js" ></script>
  <script>
    (function (window, document) {
      var typing = Fluid.plugins.typing;
      var subtitle = document.getElementById('subtitle');
      if (!subtitle || !typing) {
        return;
      }
      var text = subtitle.getAttribute('data-typed-text');
      
        typing(text);
      
    })(window, document);
  </script>




  
    <script  src="/js/img-lazyload.js" ></script>
  




  
<script>
  Fluid.utils.createScript('https://lib.baomitu.com/tocbot/4.18.2/tocbot.min.js', function() {
    var toc = jQuery('#toc');
    if (toc.length === 0 || !window.tocbot) { return; }
    var boardCtn = jQuery('#board-ctn');
    var boardTop = boardCtn.offset().top;

    window.tocbot.init({
      tocSelector     : '#toc-body',
      contentSelector : '.markdown-body',
      headingSelector : CONFIG.toc.headingSelector || 'h1,h2,h3,h4,h5,h6',
      linkClass       : 'tocbot-link',
      activeLinkClass : 'tocbot-active-link',
      listClass       : 'tocbot-list',
      isCollapsedClass: 'tocbot-is-collapsed',
      collapsibleClass: 'tocbot-is-collapsible',
      collapseDepth   : CONFIG.toc.collapseDepth || 0,
      scrollSmooth    : true,
      headingsOffset  : -boardTop
    });
    if (toc.find('.toc-list-item').length > 0) {
      toc.css('visibility', 'visible');
    }
  });
</script>


  <script src=https://lib.baomitu.com/clipboard.js/2.0.10/clipboard.min.js></script>

  <script>Fluid.plugins.codeWidget();</script>


  
<script>
  Fluid.utils.createScript('https://lib.baomitu.com/anchor-js/4.3.1/anchor.min.js', function() {
    window.anchors.options = {
      placement: CONFIG.anchorjs.placement,
      visible  : CONFIG.anchorjs.visible
    };
    if (CONFIG.anchorjs.icon) {
      window.anchors.options.icon = CONFIG.anchorjs.icon;
    }
    var el = (CONFIG.anchorjs.element || 'h1,h2,h3,h4,h5,h6').split(',');
    var res = [];
    for (var item of el) {
      res.push('.markdown-body > ' + item.trim());
    }
    if (CONFIG.anchorjs.placement === 'left') {
      window.anchors.options.class = 'anchorjs-link-left';
    }
    window.anchors.add(res.join(', '));
  });
</script>


  
<script>
  Fluid.utils.createScript('https://lib.baomitu.com/fancybox/3.5.7/jquery.fancybox.min.js', function() {
    Fluid.plugins.fancyBox();
  });
</script>


  <script>Fluid.plugins.imageCaption();</script>

  <script  src="/js/local-search.js" ></script>





<!-- 主题的启动项，将它保持在最底部 -->
<!-- the boot of the theme, keep it at the bottom -->
<script  src="/js/boot.js" ></script>


  

  <noscript>
    <div class="noscript-warning">博客在允许 JavaScript 运行的环境下浏览效果更佳</div>
  </noscript>
</body>
</html>
